One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8570653 |
| Date de publication | 2024-09-05 16:44:40 (vue: 2024-09-05 17:18:12) |
| Titre | Analyse du Trojan Mekotio Analyzing the Mekotio Trojan (Recyclage) |
| Texte | ## Snapshot Researchers at Cyfirma released an article about Mekotio Trojan, a sophisticated piece of malware that uses a PowerShell-based dropper to distribute its payload. ## Description The dropper is heavily obfuscated, employing techniques like custom XOR decryption to hide key details. Upon execution, the dropper gathers system information and communicates with a command-and-control (C2) server to receive additional payloads and instructions. It also ensures persistence by modifying system settings to execute the malware upon system startup. Key functions of the PowerShell script include generating random strings, decoding encrypted data, retrieving system details, checking for antivirus software, and managing file transfers via TCP connections. The malware\'s primary payload consists of executable and script files, which are extracted, renamed, and executed. The dropper creates shortcuts to these payloads and adds them to the Windows registry to maintain persistence. Observed C2 communication suggests the threat actors may be of Portuguese or Brazilian origin. ## Additional Analysis Threat actors frequently use PowerShell in their attacks due to its powerful capabilities, deep integration with the Windows operating system, and the fact that it is a trusted and pre-installed tool on nearly all Windows systems. Unlike other scripting languages, PowerShell allows attackers to interact directly with the Windows API, manipulate system settings, and execute commands in memory, making detection more challenging for traditional antivirus solutions that rely on file-based signatures. PowerShell\'s versatility allows threat actors to write sophisticated scripts that can download additional payloads, obfuscate commands, perform privilege escalation, and achieve persistence on the infected system. Additionally, PowerShell scripts can be easily obfuscated to evade detection and analysis, leveraging techniques like base64 encoding, string concatenation, or custom encryption methods. The ability to run in-memory (fileless) attacks without leaving traces on the disk further complicates detection by endpoint protection tools. Overall, PowerShell\'s flexibility, stealth, and integration with Windows make it an attractive choice for threat actors seeking to conduct effective and evasive attacks. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable-controlled-folders) controlled folder access. - Ensure that [tamper protection](https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-or-manage-tamper-protection) is enabled in Microsoft Defender for Endpoint. - Enable [network protection](https://learn.microsoft.com/en-us/defender-endpoint/enable-network-pro |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 20activities 20for 20is 20malicious 20of 20one 20various 20versatility 21562b1004d5/analystreport 365/security/defender 4b5e 5155 ability about access accessed achieve action actors additional additionally adds af74 against age alert alerts all allow allows also analysis analyzing antivirus any api are article artifacts attack attacker attackers attacks attacks/#:~:text=powershell attractive authority automated base64 based behind block blue brazilian breach breaches can capabilities center challenging changes checking choice cisecurity client cloud com/blog/the com/en com/microsoft com/research/analyzing com/threatanalytics3/9382203e command commands common communicates communication complicates concatenation conduct configure connections consists content control controlled copyright cover creates credential criterion custom customers cyber cyfirma data decoding decryption deep defend defender delivered description details detect detected detection directly disk distribute distribution does download dropper due easily edr effective email employing enable enabled encoding encrypted encryption endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure ensures equivalent escalation evade evasive even evolving executable execute executed execution exploit exploiting extracted fact file fileless files flexibility folder folders follow following frequently from full functions further gathers generating goat hackers hardening heavily hide how https://bluegoatcyber https://learn https://security https://www immediate impact include infected information insights insights: installed instructions integration intel interact internet investigation investigations its key languages learndoc learning leaving leveraging like list local lsa lsass machine maintain majority make making malicious malware manage managing manipulate may meet mekotio memory methods microsoft mitigations mode modifying more nearly network new non not obfuscate obfuscated observed ocid=magicti operating org/insights/white origin other overall overview papers/intel part passive payload payloads perform permission persistence piece portuguese post power powerful powershell pre preferences premises prevalence prevent primary privilege product prohibited protection protection#how protections random ransomware rapidly receive recommendations recommends reduce reducing reduction reference#block references registry released rely remediate remediation renamed reproduction researchers reserved resolve retrieving rights rule rules run running scenes script scripting scripts secure security seeking server settings shortcuts signatures significantly site snapshot software solutions sophisticated startup stealing stealth string strings subsystem suggests suitable surface system systems take tamper tcp techniques theft them thereof these threat threats tool tools traces traditional transfers trojan trojan/ trusted turn unknown unless unlike upon us/defender use used uses versatility view=o365 volume webmail when which windows without works worldwide write written xdr xor your |
| Tags | Ransomware Malware Tool Threat |
| Stories | |
| Move | 
|
Les reprises de l'article (1):
| Source | RiskIQ |
|---|---|
| Identifiant | 8570004 |
| Date de publication | 2024-09-04 20:38:54 (vue: 2024-09-04 21:18:24) |
| Titre | Earth Lusca Uses KTLVdoor Backdoor for Multiplatform Intrusion (Recyclage) |
| Texte | #### Géolocations ciblées - Chine ## Instantané Les chercheurs de Trend Micro ont découvert une nouvelle porte dérobée multiplateforme nommée KTLVVOOR, développée à Golang, ciblant à la fois les environnements Microsoft Windows et Linux. ## Description Ce malware, attribué par Trend Micro à l'acteur de menace chinois Earth Lusca, est très obscurci, en utilisant les noms des services publics de systèmes légitimes comme SSHD, Java et Bash pour éviter la détection.KTLVDOOR permet aux attaquants de contrôler pleinement les systèmes infectés, d'effectuer des commandes distantes, de manipuler des fichiers et de réaliser des analyses de port.Sa configuration utilise des techniques de chiffrement personnalisées pour compliquer l'analyse, en utilisant un format de type TLV unique pour gérer les commandes et les communications réseau.Plus de 50 serveurs de commandement et de contrôle (C&C) associés à cette campagne ont été organisés par une société chinoise, Alibaba.Bien que la Terre Lusca soit liée à bon nombre de ces échantillons, il n'est pas clair si toute l'infrastructure leur est exclusive ou partagée avec d'autres acteurs de langue chinoise. La complexité et l'échelle de l'attaque suggèrent que cela pourrait faire partie des tests en phase de démarrage pour une campagne plus large.Jusqu'à présent, le seul objectif connu est une société commerciale en Chine, indiquant un modèle similaire à d'autres groupes de langue chinois comme Iron Tiger et Void Arachne, qui ont déjà ciblé des entités chinoises. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [Investigation and Remediation] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft DefenderPour que le point final prenne des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques de vol de vol de crédits communs comme LSASS comme LSASSE SEASSS Techniques de volet LSASS comme LSASSS comme LSASSS.accéder. - [Activer] (https://learn.microsoft.com/en-us/def |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | #### **© 2024 2024** 21562b1004d5/analystreport 365/security/defender 4b5e 5155 access accessed action actor actors af74 against age alert alerts alibaba all allow although analysis antivirus any arachne are artifacts associated attack attacker attackers attributed authority automated avoid backdoor based bash behind block both breach breaches broader c&c campaign can changes china chinese client cloud com/en com/microsoft com/threatanalytics3/9382203e command commands common communications company complexity complicate conduct configuration configure content control controlled copyright cover credential criterion custom customers defend defender delivered description detect detected detection developed discovered distribution does early earth edr email employing enable enabled enables encryption endpoint endpoint/attack endpoint/automated endpoint/edr endpoint/enable endpoint/linux endpoint/prevent ensure entire entities environments equivalent even evolving exclusive executable far files folder folders follow following format from full fully geolocations golang groups hardening have highly hosted html https://learn https://security https://www immediate impact indicating infected infrastructure intrusion investigation investigations iron its java known ktlvdoor learndoc learning legitimate like linux list local lsa lsass lusca machine majority malicious malware manage manipulate many meet micro microsoft might mitigations mode multiplatform named names network new non not obfuscated ocid=magicti only other over overview part passive pattern perform permission port post preferences premises prevalence prevent previously product prohibited protection protection#how protections ransomware rapidly recommendations recommends reduce reducing reduction reference#block references remediate remediation remote reproduction researchers reserved resolve rights rule rules run running samples scale scans scenes security servers settings shared significantly similar site snapshot speaking sshd stage stealing subsystem suggest surface system systems take tamper target targeted targeting techniques testing theft them thereof these threat threats tied tiger tlv tools trading trend trendmicro trusted turn unclear unique unknown unless us/defender us/research/24/i/earth used uses using utilities view=o365 void volume webmail when who windows without works worldwide written xdr your |
| Tags | Ransomware Malware Tool Threat Prediction |
| Stories | APT 27 |
| Move |
|
L'article ressemble à 3 autre(s) article(s):
| Src | Date (GMT) | Titre | Description | Tags | Stories | Notes |
|
2024-09-06 18:14:35 | (Déjà vu) La campagne complexe de rat de Babylon cible les politiciens malaisiens, le gouvernement The Intricate Babylon RAT Campaign Targets Malaysian Politicians, Government (lien direct) |
#### Géolocations ciblées - Malaisie #### Industries ciblées - agences et services gouvernementaux ## Instantané Des chercheurs du Cyble Research and Intelligence Lab (CRIL) ont découvert une campagne de cyberattaque ciblée contre les personnalités politiques et les responsables gouvernementaux en Malaisie. ## Description Cette campagne, active depuis juillet, utilise des fichiers ISO malveillants qui contiennent une variété d'éléments trompeurs tels que les fichiers de raccourcis (LNK), les scripts PowerShell cachés, les exécutables malveillants et les documents PDF leurres.L'objectif principal de ces fichiers est de déployer Babylon Rat, un cheval de Troie (rat) à accès à distance open source qui fournit aux attaquants un contrôle non autorisé sur les systèmes compromis. Lors de l'exécution, les fichiers ISO chargés de malware utilisent des scripts PowerShell pour lancer le PDF leurre lors de l'installation de l'exécutable malveillant sur la machine de la victime.Cet exécutable établit ensuite la persistance en modifiant le registre Windows, garantissant qu'il s'exécute sur le démarrage du système.La charge utile finale, Babylon Rat, permet aux attaquants d'exécuter à distance des commandes, de capturer des frappes, de voler des mots de passe et d'exfiltrer des données sensibles. La campagne semble être une continuation des efforts antérieurs du même acteur de menace, qui a auparavant utilisé Quasar Rat, un autre rat open-source, pour cibler les entités malaisiennes.Les attaquants exploitent des tactiques avancées telles que la résolution d'API dynamique et le cryptage multicouches pour échapper à la détection et maintenir l'accès aux systèmes compromis. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Microsoft Defender Antivirus fonctionne en mode passif.EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Autoriser [enquête et correction] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) en mode automatisé complet pour permettre à Microsoft Defender le point de terminaison de prendre des mesures immédiates sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - [Activé] (https://learn.microsoft.com/en-us/defender-endpoint/enable-ctrelled-folders) Accès aux dossiers contrôlés. - Assurez-vous que [Protection de stimulation] (https://learn.microsoft.com/en-us/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection#how-do-i-configure-Or-Manage-Tamper-Protection) est activé dans Microsoft Defender pour Endpoint. - Activer [Protection réseau] (https://learn.microsoft.com/en-us/defender-endpoint/enable-network-protection) dans Microsoft Defender pour le point de terminaison. - Suivez les recommandations de durcissement des informations d'identification dans la [vue d'ensemble du vol d'identification sur prémisse] (https://security.microsoft.com/Thereatanalytics3/9382203E-5155-4B5E-AF74-21562B1004D5/analyStreport) pour défendre contre des techniques d | Ransomware Malware Tool Threat | ★★ | |
|
2024-09-06 20:50:58 | (Déjà vu) APT Lazarus: castors cryptographiques avides, appels vidéo et jeux APT Lazarus: Eager Crypto Beavers, Video calls and Games (lien direct) |
## Instantané Group-IB a publié un rapport détaillant l'activité du groupe de Lazare qui cible les demandeurs d'emploi par de fausses entretiens.La campagne attire des victimes de téléchargement du logiciel malveillant déguisé en projet Node.js, qui contient le malware de Beavertail, conduisant finalement au déploiement d'une porte dérobée python connue sous le nom d'invisibleferret. ## Description La chaîne d'infection commence lorsque les victimes sont contactées via des plateformes de recherche d'emploi comme LinkedIn, Moonlight ou Upwork.Les conversations sont ensuite souvent déplacées vers Telegram, où les victimes sont trompées pour télécharger une fausse application de conférence vidéo ou un projet Node.js pour une tâche d'entrevue supposée.Ces applications sont en fait malveillantes, contenant des charges utiles qui volent des données sensibles aux navigateurs, aux portefeuilles de crypto-monnaie et à d'autres sources. BEAVERTail Malware, initialement développé par les acteurs de la menace en tant qu'outil basé sur JavaScript, a évolué pour inclure les versions macOS et Python natives.La version Windows arrive via un fichier d'installation nommé FCCCALL, qui se présente comme une application de vidéoconférence légitime.Lors de l'exécution, FccCall imite les interfaces logicielles légitimes tout en exécutant des processus d'arrière-plan malveillants qui exfiltrent les informations d'identification du navigateur, les données de portefeuille de crypto-monnaie, etc. La variante Beavertail Python a introduit des composants modulaires, nommés collectivement CIVETQ, qui élargissent les capacités du malware \\.Les modules CIVETQ se concentrent sur des tâches telles que le keylogging, le vol de presse-papiers, l'exfiltration des données du navigateur et l'établissement de persistance sur les plates-formes Windows, MacOS et Linux.La version Python configure également AnyDesk pour un accès sans surveillance, permettant aux attaquants de maintenir un pied sur des systèmes compromis sans interaction utilisateur. InvisibleFerret, une porte arrière basée sur Python, est un autre composant important utilisé dans ces campagnes.Il dispose de la télécommande, de la clé de clés et des capacités de vol de données du navigateur, avec des mises à jour récentes incorporant des techniques d'obfuscation plus avancées et des méthodes supplémentaires d'exfiltration de données, y compris via Telegram.Beavertail et InvisibleFerret sont en cours de développement actif, les mises à jour fréquentes étant déployées pour améliorer la furtivité et l'efficacité. Le groupe Lazare utilise également des référentiels malveillants sur les plates-formes de partage de code pour distribuer des projets Node.js transversaux.Ces référentiels ciblent souvent les professionnels des secteurs de la crypto-monnaie et des jeux en se faisant passer pour des projets de développement légitimes.Lazarus met à jour en permanence ces référentiels, en utilisant des techniques d'obscurcissement et en manipulant la visibilité du référentiel pour échapper à la détection. ## Recommandations Microsoft recommande les atténuations suivantes pour réduire l'impact de cette menace. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/en-us/defender-endpoint/linux-preférences) dans Microsoft Defender Antivirus ou l'équivalent de votre produit antivirus pour couvrir rapidement les outils d'attaquant en évolution et et et les outils d'attaquant en évolution rapide ettechniques.Les protections d'apprentissage automatique basées sur le cloud bloquent la majorité des menaces nouvelles et inconnues. - Exécuter [EDR en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=Magicti_TA_LearnDoc)Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou lorsque Micr | Ransomware Malware Tool Threat | APT 38 | ★★ |
|
2024-09-06 22:15:34 | (Déjà vu) Blindagle cible le secteur des assurances colombien avec Botchyquasar BlindEagle Targets Colombian Insurance Sector with BlotchyQuasar (lien direct) |
#### Targeted Geolocations - Colombia ## Snapshot In June 2024, Zscaler ThreatLabz detected new malicious activities by BlindEagle, an advanced persistent threat (APT) group also known as AguilaCiega, APT-C-36, and APT-Q-98. ## Description This group primarily targets government and financial organizations in South America, especially in Colombia and Ecuador, using phishing emails as their main attack vector. Recent attacks focused on employees within the Colombian insurance sector, using emails impersonating the Colombian National Tax and Customs Authority (DIAN) to trick recipients into downloading a malicious ZIP archive containing the BlotchyQuasar Remote Access Trojan (RAT). This RAT, a variant of the well-known QuasarRAT, is heavily obfuscated to evade detection. BlindEagle\'s phishing emails lead victims to a Google Drive folder, which is controlled by a compromised account of a Colombian government entity. The emails create urgency by claiming there is a seizure order due to unpaid taxes. Once the victim downloads and opens the ZIP file, BlotchyQuasar is executed, giving the attacker control over the system. The malware is designed to steal payment-related data, monitor banking service interactions, log keystrokes, and extract information from browsers and FTP clients. The command-and-control (C2) infrastructure for BlotchyQuasar involves using Pastebin to retrieve encrypted C2 server details. The domains associated with these C2 servers often leverage Dynamic DNS services and are hosted on compromised VPN nodes or routers in Colombia, aligning with BlindEagle\'s typical tactics. Zscaler attributed this campaign to BlindEagle based on the use of DIAN-themed phishing lures, customized malware variants, and infrastructure patterns that match previously documented BlindEagle operations. BlindEagle continues to use obfuscation techniques to conceal its infrastructure and evade detection, indicating that this threat actor is likely to persist in launching targeted attacks in the region. ## Additional Analysis BlindEagle is a financially motivated threat actor active since at least 2018. The group has been observed targeting organizations in South America, primarily in Colombia and Ecuador. However, in February 2024, [eSentire attributed BlindEagle](https://www.esentire.com/blog/blind-eagles-north-american-journey) to a campaign targeting Spanish-speaking users in the manufacturing industry in North America. BlindEagle typically leverages phishing emails that distribute RATs. In attacks, the group has employed a variety of publicly available RATs including njRAT, ProyectoRAT, WarzoneRAT, AsyncRAT, LimeRAT, RemcosRAT, QuasarRAT, and BitRAT. ## Recommendations Microsoft recommends the following mitigations to reduce the impact of this threat. - Turn on [cloud-delivered protection](https://learn.microsoft.com/en-us/defender-endpoint/linux-preferences) in Microsoft Defender Antivirus or the equivalent for your antivirus product to cover rapidly evolving attacker tools and techniques. Cloud-based machine learning protections block a majority of new and unknown threats. - Run [EDR in block mode](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-block-mode?view=o365-worldwide?ocid=magicti_ta_learndoc) so that Microsoft Defender for Endpoint can block malicious artifacts, even when your non-Microsoft antivirus does not detect the threat or when Microsoft Defender Antivirus is running in passive mode. EDR in block mode works behind the scenes to remediate malicious artifacts that are detected post-breach. - Allow [investigation and remediation](https://learn.microsoft.com/microsoft-365/security/defender-endpoint/automated-investigations?view=o365-worldwide?ocid=magicti_ta_learndoc) in full automated mode to allow Microsoft Defender for Endpoint to take immediate action on alerts to resolve breaches, significantly reducing alert volume. - [Enable](https://learn.microsoft.com/en-us/defender-endpoint/enable | Ransomware Spam Malware Tool Threat Prediction | APT-C-36 | ★★ |